如何教 AppArmor 關於頂級符號連結

我將我的“根”分區分成兩部分：一個包含大多數文件的普通分區，另一個用於那些可以“增長”的區域。具體來說，這意味著，我有如下符號連結：

/var/log   -> /part1/log
/var/cache -> /part1/cache
/var/spool -> /part1/spool

這一直很好，直到我開始使用 AppArmor，它一直在抱怨諸如 cupsd 正在查看 /part1/log/cups/.. 中的文件之類的事情。

我目前通過為受 AppArmor 保護的每個應用程序添加條目來解決此問題，但這很乏味。

有什麼方法可以一勞永逸地告訴 AppArmor，如果/var/log/FOO允許訪問，/part1/log/FOO那麼也應該允許訪問？

可以/etc/apparmor.d/tunables/alias按如下方式完成：

# Alias rules can be used to rewrite paths and are done after variable
# resolution. For example, if '/usr' is on removable media:
# alias /usr/ -> /mnt/usr/,
#
# Or if mysql databases are stored in /home:
# alias /var/lib/mysql/ -> /home/mysql/,

/var/log   -> /part1/log,
/var/cache -> /part1/cache,
/var/spool -> /part1/spool,

也可以看看：

• https://manpages.debian.org/unstable/apparmor/apparmor.d.5.en.html#Alias_rules
• https://bugs.launchpad.net/apparmor/+bug/1485055/comments/2

引用自：https://unix.stackexchange.com/questions/445773